GDPR: Băncile trebuie să se asigure că nu prelucrează date excesive pentru a verifica bonitatea clientului

În cazul din Norvegia, s-a considerat că o bancă ce a analizat bonitatea unui potențial client, fără să aibă consimțământul acestuia, a acționat contrar GDPR. În consecință, Autoritatea norvegiană de protecție a datelor a sancționat împrumutătorul, amendându-l cu 95.500 euro.

În mod normal, o entitate ce prelucrează date trebuie să găsească cel mai potrivit temei pentru prelucrarea acelor date, în contextul specific în care se află. Cu alte cuvinte, există, într-o situație dată, un temei de prelucrare a datelor mai potrivit decât oricare altul. În cazul de față, din moment ce Autoritatea norvegiană a considerat că lipsa consimțământului potențialului client a dus la o încălcare a GDPR, înseamnă că nu exista niciun alt temei potrivit, în situația dată.

În România, în schimb, lucrurile ar fi stat diferit. Pentru că nu consimțământul ar fi fost cel mai potrivit temei de prelucrare a datelor, în situația respectivă. Ci îndeplinirea unei obligații legale. Îndatorire care poate fi găsită în Ordonanța de urgență nr. 50/2010 privind contractele de credit pentru consumatori. Potrivit acesteia: „[î]nainte de încheierea unui contract de credit, creditorul evaluează bonitatea consumatorului, având în vedere inclusiv capacitatea acestora de a face față unor evoluții nefavorabile privind cursul de schimb, rata dobânzii și venitul” (articolul 30(1) din OUG nr. 50/2010). Dispoziții similare există și în cadrul Ordonanței de urgență nr. 52/2016 privind contractele de credit oferite consumatorilor pentru bunuri imobile (...).

În acest caz, o bancă ce evaluează bonitatea potențialului client poate să prelucreze datele lui financiare, fără să aibă nevoie de consimțământul persoanei vizate. Pentru că legea pretinde, deja, ca împrumutătorul să prelucreze asemenea date. 

Înseamnă acest lucru că amenda dată în Norvegia este irelevantă pentru România? Nu chiar. Pentru că banca, în situația respectivă, nu doar că a analizat bonitatea clientului, fără a avea consimțământul acestuia. Ci a și făcut patru verificări ale situațiilor financiare ale potențialului client. Adică a accesat un volum considerabil de date financiare. Și asta pe o perioadă de trei luni. Astfel, apare problema volumului de date colectat, a necesității colectării lor și a proporționalității prelucrării de date cu scopul urmărit.

Iar aici devine, cu adevărat, relevantă situația din speța din Norvegia pentru România. Chiar dacă are o obligație de a verifica bonitatea clientului, datele pe care banca le prelucrează, în acest scop, trebuie să fie reduse la minimul necesar pentru atingerea obiectivului urmărit. Și să existe o proporționalitate între scopul urmărit și volumul de date prelucrat. Două din principiile de bază ale GDPR se referă la reducerea la minimum a datelor prelucrate și la respectarea proporționalității, cum menționam mai sus.

Chiar OUG nr. 50/2010, de pildă, precizează, după ce prevede obligația legală de verificare a bonității, că banca trebuie să evalueze capacitatea de plată a potențialului client „pe baza unui volum suficient de informații obținute, inclusiv de la consumator, și, după caz, pe baza consultării bazei de date relevante cu respectarea [legislației privind protecția datelor]”.

Cu alte cuvinte, banca se va uita la situația concretă și la datele ce trebuie prelucrate pentru a verifica bonitatea clientului, fără, însă, a colecta date suplimentare celor necesare. Care sunt aceste date se va stabili în funcție de situație, dar creditorul trebuie să poată demonstra că a respectat principiile aplicabile, din GDPR.

De exemplu, pentru un credit de câteva mii de euro nu e, probabil, justificată prelucrarea unui volum de date atât de vast cum ar fi pentru oferirea unui credit de câteva zeci de mii de euro.

În concluzie, băncile, deși au un temei solid și clar pe care să se bazeze când verifică bonitatea clientului, înainte de acordarea unui credit, trebuie să fie atente, totuși, la ce și cât prelucrează. Și trebuie să poată demonstra că au respectat principiile aplicabile.